§ 2
Dz.U. 2020 poz. 399
Treść przepisu
§ 2.
1.
System teleinformatyczny służący do wydania certyfikatu wykorzystywanego przez podmioty
publiczne do uwierzytelniania użytkowników spełnia następujące warunki techniczne
i organizacyjne:
1)
umożliwia wystawienie certyfikatu oraz jego wydanie użytkownikowi, dla którego został
on wystawiony;
2)
umożliwia niezwłoczne unieważnienie certyfikatu;
3)
określa dokładny czas wystawienia i unieważnienia certyfikatu, zgodnie z czasem uniwersalnym
koordynowanym UTC(PL);
4)
potwierdza tożsamość użytkownika, któremu wydano certyfikat;
5)
posiada zabezpieczenia na wypadek zagrożeń w zakresie bezpieczeństwa teleinformatycznego
dobierane na podstawie szacowania ryzyka;
6)
nie gromadzi ani nie kopiuje danych służących użytkownikom do potwierdzania tożsamości
z wykorzystaniem certyfikatów.
2.
System, o którym mowa w ust. 1, przechowuje dane dotyczące wystawionych certyfikatów
przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym
certyfikat został wystawiony.
3.
Zapewnienie bieżącej poprawności i użyteczności funkcjonalnej systemu, o którym mowa
w ust. 1, wymaga spełnienia następujących warunków technicznych i organizacyjnych:
1)
dokonywania systematycznego przeglądu skuteczności zastosowanych środków zabezpieczeń
na wypadek zagrożeń bezpieczeństwa teleinformatycznego, w celu wprowadzania ich usprawnień;
2)
utrzymywania w aktualnym stanie dokumentacji operacyjnej i technicznej systemu, w
celu zapewnienia jego bezpiecznej eksploatacji;
3)
zapewniania organizacyjnego, technicznego i kryptograficznego bezpieczeństwa działania
systemu;
4)
prowadzenia działań zapobiegających fałszowaniu certyfikatów, w tym zapewniania poufności
podczas procesu tworzenia danych do potwierdzania tożsamości użytkownika;
5)
informowania osób ubiegających się o certyfikat o warunkach stosowania certyfikatu
zawartych w polityce certyfikacji.
4.
Warunki, o których mowa w ust. 1-3, zostały spełnione, gdy:
1)
została wdrożona polityka certyfikacji spełniająca wymagania wskazane w normie PN-ETSI
EN 319 411 lub nowszej;
2)
zapewnione zostały warunki organizacyjne i techniczne zgodne z wymaganiami specyfikacji
technicznej CEN/TS 419261 lub nowszej w zakresie świadczenia usług innych niż wydawanie
certyfikatów kwalifikowanych;
3)
zastosowane zostały systemy i produkty zgodne z wymaganiami specyfikacji technicznej
CEN/TS 419221 lub nowszej.
5.
Administrator systemu, o którym mowa w ust. 1, udostępnia deklarację o spełnieniu
wymagań określonych w ust. 3 oraz politykę certyfikacji:
1)
w Biuletynie Informacji Publicznej albo
2)
na stronie internetowej administratora - w przypadku podmiotów niezobowiązanych do
udostępniania informacji publicznej w Biuletynie Informacji Publicznej.
Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy